許 靜 / 付 專

1. 中國建筑設計院有限公司(原中國建筑設計研究院)智能工程中心，北京 100044； 2. 中國建設銀行北京數(shù)據(jù)中心風險處，北京 100077

0 引言

作為全國性銀行網(wǎng)絡中數(shù)據(jù)交換最頻繁、資源最密集的地方，大型金融數(shù)據(jù)中心無疑是一個充滿著巨大誘惑的數(shù)字城堡，任何防護上的疏漏都將導致不可估量的損失，因此構筑一道安全的防御體系將是這座數(shù)字城堡首先需要面對的問題。

由于隱藏在企業(yè)內(nèi)部的黑客不僅可以通過對網(wǎng)絡基礎設施的攻擊對數(shù)據(jù)中心的網(wǎng)絡造成損害，還可以憑借其對網(wǎng)絡構架的充分了解訪問非授權資源，對企業(yè)造成重大損失。所以堅固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。

數(shù)據(jù)中心的安全可以劃分為環(huán)境和硬件層、網(wǎng)絡層、操作系統(tǒng)層、數(shù)據(jù)庫層和應用層5個層次。在此，本文僅對環(huán)境和硬件層面的安全防護進行研究。

1 安全防護區(qū)域劃分

大型金融數(shù)據(jù)中心，尤其是全國性銀行的數(shù)據(jù)中心，其安全防護等級應該定義為一級。

大型金融數(shù)據(jù)中心通常建設在園區(qū)內(nèi)，按照縱深防護的原則，應該劃分為周界、監(jiān)視區(qū)、防護區(qū)及禁區(qū)。

園區(qū)室外一般劃分為園區(qū)周界和園區(qū)監(jiān)視區(qū)，而園區(qū)室內(nèi)按照受保護對象及其敏感性，劃分為四個安全防護等級：

1)關鍵區(qū)域(屬于高等級禁區(qū))：主要包括ECC總控中心、數(shù)據(jù)機房、柴發(fā)樓、電信間等生產(chǎn)區(qū)域，但不包括該區(qū)域的訪客參觀區(qū)域。

2)重要區(qū)域(屬于普通禁區(qū))：主要包括上線支持區(qū)、備件配件庫房、強電間、弱電間、數(shù)據(jù)介質(zhì)庫房等生產(chǎn)輔助區(qū)域，以及老總辦公室、重要會議室和數(shù)據(jù)機房、柴發(fā)樓、電信間等關鍵區(qū)域的訪客參觀區(qū)域。

3)受控區(qū)域(屬于防護區(qū))：主要包括普通員工辦公區(qū)、樓梯、電梯、連廊、過道等區(qū)域。

4)一般區(qū)域：主要包括員工工間休息交流區(qū)、茶水間、一般會議室、企業(yè)文化和形象展示中心、培訓教室、一般庫房等。

數(shù)據(jù)中心園區(qū)的規(guī)劃圖如圖1所示。

圖1 數(shù)據(jù)中心園區(qū)規(guī)劃圖

2 室內(nèi)各安全防護區(qū)域的管理原則

依據(jù)不同的安全防護等級，采取不同的管理措施。

1)關鍵區(qū)域：禁止內(nèi)部人員單人進入及單人滯留在此區(qū)域，禁止外來人員非法進入此區(qū)域。原則上應設置雙人雙向讀卡或生物識別的出入口控制系統(tǒng)、不間斷無盲區(qū)的視頻監(jiān)控系統(tǒng)、雙監(jiān)探測系統(tǒng)、強制入侵告警系統(tǒng)、人員識別及定位系統(tǒng)、防尾隨裝置和7×24h的安保警衛(wèi)。

2)重要區(qū)域：主要防止外來人員非法進入此區(qū)域。原則上應設置雙向讀卡或生物識別的出入口控制系統(tǒng)、不間斷無盲區(qū)的視頻監(jiān)控系統(tǒng)、雙監(jiān)探測系統(tǒng)、強制入侵告警系統(tǒng)、人員識別及定位系統(tǒng)及防尾隨裝置。

3)受控區(qū)域：對進入此區(qū)域的人員進行監(jiān)視、管理，對非法進入的外來人員進行告警、記錄。原則上應設置出入口控制系統(tǒng)(可以設單向讀卡器)，不間斷無盲區(qū)的視頻監(jiān)控系統(tǒng)，強制入侵告警系統(tǒng)。

4)一般區(qū)域：對進入此區(qū)域的人員進行影像記錄，便于安全事件發(fā)生后的疑點查找。原則上應設置不間斷無盲區(qū)的視頻監(jiān)控系統(tǒng)，能夠清晰記錄人員特征。

一般來說，關鍵區(qū)域內(nèi)的訪客通道與機電維修通道分離，貨物通道與人員通道分離，因此應根據(jù)應用系統(tǒng)保護等級對子安全區(qū)域進行二次細分和加強設計。

3 室內(nèi)各區(qū)域出入口控制要求

由于數(shù)據(jù)中心的安全關鍵是指數(shù)據(jù)的安全，因此對人員進出各區(qū)域的管理顯得尤為重要。

1)關鍵區(qū)域

(1)主機房樓門、柴油發(fā)電機房樓門：作為進入存放已投產(chǎn)的計算機設備和網(wǎng)絡設備等重要設備樓的第一道出入口控制設備，要求能有效防尾隨。要求采用雙向讀卡或生物識別的出入口控制設備，出入的人員均必須經(jīng)認證是授權人本人才能通過。當門開啟的時間過長或強制入侵發(fā)生時，可以聯(lián)動視頻監(jiān)控中心進行報警，超時時間長短可自行定義。

(2)機房模塊門、柴油發(fā)電機間門、強電間門、UPS室門、電信間門等生產(chǎn)區(qū)域：存放已投產(chǎn)的計算機設備和網(wǎng)絡設備等重要設備的樓棟后，具體設備間的出入口控制系統(tǒng)的特點是人員出入不多且設備的安全級別較高。要求使用雙向讀卡或生物識別的出入口控制設備。應設置人員計數(shù)功能，進出的每個人都需要進行身份識別，出入人員均必須經(jīng)認證是授權人本人才能通過。

(3)重要機房門：作為進入核心設備間的出入口控制系統(tǒng)，其特點是設備的安全級別最高。要求使用雙向雙人同時讀卡或生物識別的出入口控制設備，需雙人及以上同時出入。進出人員與認證通過的人數(shù)必須相符?？梢栽O定雙人讀卡規(guī)則，安裝雙向讀卡器(生物識別讀卡器)，雙人在1s內(nèi)同步認證，方可以開門?；蛟谕粋€生物識別器上兩個有權限的人依次認證(必須是兩個不同的人，一個人確認兩次是無效的)。如果采用通過讀卡控制雙人同時進出的模式，則必須有效防止一個人持多張卡出入的情況發(fā)生。

2)重要區(qū)域

(1)ECC機房、上線支持區(qū)：作為上線變更、運行維護和監(jiān)控人員工作所在地，必須保證7×24h可通行，人員出入頻繁，因此要求設置雙向讀卡的出入口控制設備、雙向防尾隨。防尾隨可以通過紅外對射或其他物理設備來確保一次讀卡認證只能通過一個人員。

(2)安全監(jiān)控區(qū)、授權室：作為安全監(jiān)控、視頻監(jiān)控及出入口控制授權所在地，應安裝雙向的讀卡器進/出門，有效防止尾隨?？梢月?lián)動紅外探測器并設定時間，當一定時間內(nèi)紅外探測器沒有被觸發(fā)時就會產(chǎn)生一個報警信號(如語音提示或警號)，防止值班人員在夜間值班期間睡覺。

(3)保管室、消磁間：作為存放密鑰、令牌、密碼信封等重要物品，放置保管重要憑證的保險柜的場所，人員出入不多。因此要求采用雙向讀卡或生物識別(靜脈或三維人臉識別等)的出入口控制設備，進出均需進行身份認證，要有防跟隨功能，可以設定雙人讀卡規(guī)則。

(4)介質(zhì)保管室：作為存放備份磁帶，離線保存業(yè)務數(shù)據(jù)的重要場所。要求采用雙向雙人讀卡或生物識別的出入口控制設備，要有防跟隨措施。如有多個門，主門設置為雙向雙人讀卡或生物識別，副門可設置為雙人同時讀卡進入、單人讀卡出門，或雙向生物識別的出入口控制系統(tǒng)。如果采用通過讀卡控制雙人同時進出的模式，則必須有效防止一個人持多張卡出入的情況。

(5)領導辦公室：老總辦公室應優(yōu)先考慮安裝生物識別系統(tǒng)并采用機電一體鎖，快速方便并達到出入控制目的。

(6)VIP會議室、決策室：應優(yōu)先考慮安裝生物識別系統(tǒng)并采用機電一體鎖(可以是進門生物識別，出門直接按門把手)，達到控制人員進出的目的，通過三維人臉識別等技術自動識別VIP人員，自動匹配為其預置的門禁權限及歡迎等顯示或語音信息。

(7)重要庫房：作為存放計算機設備、備品備件等物品的場所，人員出入少且設備價值高，因此要求采用雙向讀卡或生物識別的出入口控制設備，要有防尾隨措施。

(8)弱電間、電纜井等生產(chǎn)輔助設備間：作為內(nèi)部敷設強、弱電管線及安裝強、弱電傳輸設備的場所，要求采用雙向讀卡的出入口控制設備。電纜井(無強、弱電設備)要求讀卡開門。

3)受控區(qū)域

(1)運維樓門：作為員工辦公樓，其上下班時人員較多，因此應在進入辦公區(qū)的第一道出入口采用速通門進行控制并使用雙向讀卡或生物特征識別進行認證。應考慮人流過大時的疏散功能(此處門禁應兼具有考勤功能，或與考勤系統(tǒng)聯(lián)動)。

(2)運維樓的樓層門：為防止外來人員串樓層，員工辦公層選用帶密碼鍵盤的讀卡器，可設置為上班時間讀卡或輸入密碼進入樓層，下班時間則需讀卡+密碼進入樓層。出門設置為按鈕出門，辦公人員出入頻繁的區(qū)域，出門設置為紅外感應自動伸縮開門。

(3)員工辦公室門：為防止外來人員進入并對辦公人員的出入進行管理，辦公人員出入可采用讀卡進門，按鈕出門的控制模式；出門可以設置為紅外感應自動伸縮開門。

(4)普通會議室：作為員工開會區(qū)，可采用讀卡進門，按鈕出門的控制模式，并考慮與會議室預訂系統(tǒng)聯(lián)動(此處出入口控制設備應兼有會議簽到功能)。

(5)普通庫房：作為存放后勤生活物資、辦公用品、已進行數(shù)據(jù)清理報廢設備的場所，應采用讀卡出入的控制模式。

(6)食堂、地庫電梯與大樓連接的通道：作為開車員工或就餐員工出入大樓的入口，要求安裝讀卡器控制出入，有效防尾隨。可以加裝物理設備配合讀卡器以實現(xiàn)防尾隨(如快速通道門或紅外控制通道等)。人員從垂直通道(電梯等)或樓梯進入大樓樓層需要讀卡。從大樓樓層進入垂直通道或樓梯設置為按鈕或紅外感應自動伸縮開門。出入口的位置及控制方式，要求能夠防止園區(qū)無權限人員通過地下停車庫或食堂進入數(shù)據(jù)中心運維樓、總控中心和數(shù)據(jù)機房。

4)一般區(qū)域

在重要分界或人員隔離區(qū)域，從低等級安防區(qū)域進入高等級安防區(qū)域要求采用讀卡或生物識別進入的控制模式，從高等級安防區(qū)域進入低等級安防區(qū)域采用按鈕出門或紅外感應自動伸縮開門的控制模式。樓梯、電梯、連廊、過道口應輔助使用視頻監(jiān)控記錄過往人員特征。

4 室內(nèi)各區(qū)域視頻監(jiān)控要求

1)柴發(fā)、數(shù)據(jù)機房區(qū)域：對數(shù)據(jù)中心機房、柴發(fā)樓、強電間、UPS室、生產(chǎn)空調(diào)間、弱電間等區(qū)域內(nèi)，以及樓梯口、電梯出入口、主要通道、拐角、重要場所等區(qū)域進行監(jiān)控。要求室內(nèi)監(jiān)控全覆蓋，無死角，無盲區(qū)，機房模塊及設備間出入口能夠清晰記錄人員特征。室外關鍵出入口能夠清晰記錄人員特征。所有攝像機7×24h實時監(jiān)控，視頻文件實時存儲。

2)總控中心：對ECC總控中心、監(jiān)控及授權室內(nèi)部進行全局性的覆蓋，能夠監(jiān)控到任意區(qū)域發(fā)生的情況。監(jiān)控攝像機不得清晰記錄大屏及終端上顯示的內(nèi)容，防止通過視頻監(jiān)控泄密?？偪刂行膶ζ渌麉^(qū)域(如ECC、監(jiān)控及授權室、設備間、會議室、辦公室、保密室、弱電間等區(qū)域門口以及樓梯口、電梯出入口、主要通道及拐角等區(qū)域)進行監(jiān)控，如：出入口要求能夠清晰記錄人員特征。所有攝像機7×24h實時監(jiān)控，視頻文件實時存儲。

3)運維樓辦公區(qū)域內(nèi)：要求有少量全局性的視頻監(jiān)控，如：各房間(辦公室、會議室等)的出入口、樓梯口、電梯出入口、主要通道、過道，拐角及通往室外露臺處等重點區(qū)域，并能夠清晰記錄人員特征。

4)運維樓上線支持區(qū)、安全監(jiān)控區(qū)：應按照ECC內(nèi)的標準，進行全局性的視頻覆蓋，能夠監(jiān)控到任意區(qū)域發(fā)生的情況。監(jiān)控攝像機不得清晰記錄大屏及終端上顯示的內(nèi)容，防止通過視頻監(jiān)控泄密。所有攝像機7×24h實時監(jiān)控，視頻文件實時存儲。

5)地下、運動中心：按常規(guī)原則設計即可，所有攝像機7×24h實時監(jiān)控，視頻文件實時存儲。

5 室內(nèi)安全防范技術措施重點

為滿足數(shù)據(jù)中心高等級安全防護的要求，應采取一系列安全防范技術措施。

1)安全防范專用網(wǎng)絡平臺

為確保整個數(shù)據(jù)中心安全防范系統(tǒng)的可靠運行，所設置的專用網(wǎng)絡平臺總體上應為星型網(wǎng)絡架構。網(wǎng)絡上末端設備(攝像機、讀卡器、生物識別儀等)的配電線路、信號傳輸、控制線路均應采用星型連接方式(不能采用總線型連接，不可以相互串接)，所有安防設備均應雙回路供電，并有柴油發(fā)電機和UPS等備用電源保障，UPS供電時間與主機房保持一致。

2)出入口控制系統(tǒng)

出入口控制系統(tǒng)應能通過智能卡對出入設防區(qū)域的人員身份、進出及停留時間進行記錄，對電動門鎖進行控制；既能防止外盜，又能防止內(nèi)部作案，能實時反映、記錄各時段、各地點的工作狀態(tài)，且不可更改。

進入企業(yè)的每個人將持有非接觸式CPU卡，包括內(nèi)部員工、上線支持人員、合作公司駐場支持人員、安保后勤、物業(yè)管理人員以及臨時訪客等。

對上述人員分別發(fā)放員工卡、短期卡或臨時訪客卡，根據(jù)所獲得的授權，在有效期限內(nèi)可開啟指定的門鎖進入實施出入口控制的辦公場所，出入口控制系統(tǒng)實現(xiàn)對員工身份、職能的識別，并進行出入記錄。

出入記錄要求保留一年以上。出入口控制系統(tǒng)服務器記錄所有系統(tǒng)事件、處理記錄，能監(jiān)測所有門的開關狀態(tài)和讀卡事件，并能遠程控制開關門，配置相關的管理軟件按管理要求進行記錄查詢并自動生成各種報表。

關鍵區(qū)域及ECC出入口控制設備(包括讀卡器)均應雙路供電，接入UPS，UPS供電時間參照主機房標準。出入口控制系統(tǒng)應具備斷電開門、自身故障開門等應急出入功能，緊急情況下可以手動打開局部或全部的出入口控制設備。

由于大型金融數(shù)據(jù)中心具備生產(chǎn)區(qū)域多、生產(chǎn)輔助區(qū)域多、員工辦公區(qū)多等特點，各區(qū)域的出入口控制可能屬于不同部門管理，園區(qū)、運維樓、研發(fā)樓、數(shù)據(jù)機房、總控中心等出入口的整套控制系統(tǒng)，應能實現(xiàn)既可按部門職責分工進行獨立授權和控制，又可以進行統(tǒng)一授權控制。

由于生物識別具有唯一性及不可復制性，所以應優(yōu)先考慮采用生物特征識別方式對數(shù)據(jù)機房、總控中心、保管室等重點部位進行出入控制，并考慮緊急疏散功能。

3)出入口控制系統(tǒng)應與其他系統(tǒng)實現(xiàn)聯(lián)動

出入口控制系統(tǒng)應具有完備的運作模式，滿足消防、安防等聯(lián)動需要。

(1)出入口控制系統(tǒng)與視頻監(jiān)控系統(tǒng)應實現(xiàn)聯(lián)動

視頻監(jiān)控系統(tǒng)的主機與出入口控制系統(tǒng)主機應可以進行通訊。出入口控制系統(tǒng)報警接口單元輸出的觸點信號應能傳給視頻監(jiān)控系統(tǒng)，視頻監(jiān)控系統(tǒng)收到報警信號后，控制報警發(fā)生區(qū)域的攝像機及錄像畫面顯示當前活動，并進行大屏投影。

當出入口控制系統(tǒng)出現(xiàn)非法開門、強制入侵或超時未關門等情況時，系統(tǒng)報警信息應送到視頻監(jiān)控系統(tǒng)，由視頻監(jiān)控系統(tǒng)控制就近的攝像機對報警現(xiàn)場進行視頻核實。

(2)出入口控制系統(tǒng)與入侵報警系統(tǒng)聯(lián)動

當巡邏保安或保潔人員到達或離開某一區(qū)域并進行讀卡簽到時，出入口控制系統(tǒng)應將第一個及最后一個合法信息傳給入侵報警系統(tǒng)，入侵報警系統(tǒng)主機應能對相應區(qū)域進行撤布防。

(3)出入口控制系統(tǒng)與火災自動報警系統(tǒng)應實現(xiàn)聯(lián)動

當火災發(fā)生時，火災報警信號應聯(lián)動出入口控制系統(tǒng)的執(zhí)行機構實現(xiàn)開鎖，并聯(lián)動斷開執(zhí)行機構的電源。

(4)出入口控制系統(tǒng)與考勤系統(tǒng)應實現(xiàn)聯(lián)動

(5)出入口控制系統(tǒng)與會議簽到系統(tǒng)應實現(xiàn)聯(lián)動

4)視頻監(jiān)控系統(tǒng)

應采用高清、低照度、寬動態(tài)型攝像機，攝像機的視頻清晰度要求達到720P及以上。

要求通過電子地圖，可以查看相應位置攝像機的實時圖像。錄像可以通過系統(tǒng)遠程回放播放，要有抓圖功能。并可與出入口控制系統(tǒng)、入侵報警系統(tǒng)、防盜報警系統(tǒng)等實現(xiàn)聯(lián)動，圖像畫面顯示在ECC總控中心、安全監(jiān)控室及安防消防監(jiān)控中心。

所有關鍵區(qū)域及重要區(qū)域的視頻監(jiān)視數(shù)據(jù)在線保存期限最低為三個月，其他區(qū)域的視頻監(jiān)視數(shù)據(jù)在線保存期限最低為一個月，所有數(shù)據(jù)均可隨時調(diào)閱。

數(shù)據(jù)機房、ECC、關鍵出入口圖像在ECC總控中心和安全監(jiān)控室的大屏幕上實時顯示，園區(qū)(數(shù)據(jù)機房、ECC外)的監(jiān)控錄像在ECC總控中心和安防消防控制中心的大屏上實時顯示，根據(jù)需要可以將任意攝像機分畫面同時監(jiān)視。

視頻監(jiān)控系統(tǒng)應進行實時監(jiān)視，并記錄監(jiān)控視頻，為事件提供調(diào)查依據(jù)，系統(tǒng)采用動態(tài)事件和24h實時監(jiān)控錄像相結合的方式，圖像保存于大型磁盤陣列中。系統(tǒng)采用網(wǎng)絡化數(shù)字集中監(jiān)控系統(tǒng)，視頻錄像管理服務器部署在數(shù)據(jù)機房，為了保證系統(tǒng)的穩(wěn)定性及免維護性，采用高性能服務器配合大型網(wǎng)絡視頻控制錄像管理軟件，以保證監(jiān)控畫面清晰。

監(jiān)控系統(tǒng)主要完成對各個出入口、通道、數(shù)據(jù)機房、柴發(fā)樓、強電間、UPS室、生產(chǎn)空調(diào)間、弱電間、ECC總控中心、介質(zhì)庫等位置的監(jiān)控。其中，安防消防分控中心的管理端只能查閱轄區(qū)內(nèi)的視頻監(jiān)控錄像，總控中心、安全監(jiān)控室的管理端可以查閱所有生產(chǎn)區(qū)域、總控中心及生產(chǎn)輔助區(qū)域的視頻監(jiān)控錄像。安防消防總控中心可以查閱園區(qū)所有視頻監(jiān)控錄像。

5)視頻安防監(jiān)控系統(tǒng)應具備的功能

(1)實時告警功能(包括運動監(jiān)控告警、絆網(wǎng)監(jiān)控告警、遺棄物體監(jiān)控告警、目標被移動監(jiān)控告警、攝像機被移動監(jiān)控告警)；

(2)智能搜索、統(tǒng)計功能；

(3)區(qū)域檢索功能；

(4)智能分析功能(包括異常行為分析、人群計數(shù)統(tǒng)計、低復雜度的運動檢測分析、活動探測、入侵探測)。

6 室外風險防范控制的管理原則

依據(jù)可能進入園區(qū)的各種人員、車輛及可能發(fā)生的恐怖事件，采取不同的管理措施，具體內(nèi)容正在研究中。

7 結束語

對于大型金融數(shù)據(jù)中心的風險防范控制應本著“人防+物防+技防”相結合的方式。因此，數(shù)據(jù)中心的安全防護體系不能僅依靠單獨的某個因素，還要依托整個數(shù)據(jù)中心中各部門的安全措施，建立起一套完整的策略和安全措施來保障整個系統(tǒng)的安全。